Last updated: 9 April 2026
Under Article 28 of the General Data Protection Regulation (GDPR), Vocito AI is required to maintain a list of subprocessors that process personal data on behalf of our customers. This page provides an up-to-date overview of all subprocessors we currently engage.
As a data processor, Vocito AI enters into Data Processing Agreements (DPAs) with each subprocessor and ensures that appropriate safeguards are in place for all international data transfers.
| Name | Purpose | Data Processed | Location | Safeguards |
|---|---|---|---|---|
| Twilio | Telephony infrastructure (SIP trunking, phone numbers, call routing) | Call metadata, caller phone numbers | US (EU data region available) | DPA, SCCs, EU-US DPF |
| Twilio Verify | SMS phone verification during account registration | Phone number, verification status | US | DPA, EU-US DPF |
| OpenAI | AI language model processing (call understanding, summaries, lead qualification) | Call transcripts, AI prompts | US | DPA, SCCs, API data not used for training |
| ElevenLabs | AI voice synthesis (text-to-speech for agent voices) | Text prompts for speech generation | US/EU | DPA, SCCs |
| Google Cloud | AI audio models (Gemini for voice interaction) | Audio streams, transcripts | EU | DPA, SCCs, EU data residency |
| Supabase | Database, authentication, file storage | All account and call data | EU (Frankfurt, Germany) | DPA, EU hosting |
| Stripe | Payment processing | Billing data, payment methods | US/EU | PCI-DSS Level 1, DPA, SCCs |
| Netlify | Website hosting and serverless functions | Website usage data, form submissions | US/EU (CDN) | DPA |
We notify customers at least 14 days before adding or changing a subprocessor. This notification includes the name of the subprocessor, the purpose of processing, and the location of data processing.
Customers who object to a new or changed subprocessor may terminate the affected services without penalty, provided the objection is raised within the 14-day notification period. To raise an objection, contact us at privacy@vocito.ai.
To receive email notifications whenever we add or change a subprocessor, send an email to privacy@vocito.ai with the subject line "Subscribe to Subprocessor Updates". We will add you to our notification list and confirm your subscription.
| Date | Change |
|---|---|
| 11 April 2026 | Added Twilio Verify (SMS phone verification) |
| 9 April 2026 | Initial subprocessor list published |
Op grond van artikel 28 van de Algemene Verordening Gegevensbescherming (AVG) is Vocito AI verplicht een lijst bij te houden van subverwerkers die persoonsgegevens verwerken namens onze klanten. Deze pagina biedt een actueel overzicht van alle subverwerkers die wij momenteel inschakelen.
Als verwerker sluit Vocito AI verwerkersovereenkomsten af met elke subverwerker en zorgt ervoor dat passende waarborgen aanwezig zijn voor alle internationale gegevensdoorgiften.
| Naam | Doel | Verwerkte gegevens | Locatie | Waarborgen |
|---|---|---|---|---|
| Twilio | Telefonie-infrastructuur (SIP-trunking, telefoonnummers, gespreksroutering) | Gespreksmetadata, telefoonnummers van bellers | VS (EU-dataregio beschikbaar) | VVO, SCC's, EU-VS DPF |
| OpenAI | AI-taalmodelverwerking (gespreksbegrip, samenvattingen, leadkwalificatie) | Gesprekstranscripties, AI-prompts | VS | VVO, SCC's, API-data niet gebruikt voor training |
| ElevenLabs | AI-spraaksynthese (tekst-naar-spraak voor agentstemmen) | Tekstprompts voor spraakgeneratie | VS/EU | VVO, SCC's |
| Google Cloud | AI-audiomodellen (Gemini voor spraakinteractie) | Audiostreams, transcripties | EU | VVO, SCC's, EU-dataresidentie |
| Supabase | Database, authenticatie, bestandsopslag | Alle account- en gespreksgegevens | EU (Frankfurt, Duitsland) | VVO, EU-hosting |
| Stripe | Betalingsverwerking | Facturatiegegevens, betaalmethoden | VS/EU | PCI-DSS Level 1, VVO, SCC's |
| Netlify | Websitehosting en serverloze functies | Websitegebruiksgegevens, formulierinzendingen | VS/EU (CDN) | VVO |
Wij stellen klanten minimaal 14 dagen van tevoren op de hoogte voordat een subverwerker wordt toegevoegd of gewijzigd. Deze kennisgeving omvat de naam van de subverwerker, het doel van de verwerking en de locatie van de gegevensverwerking.
Klanten die bezwaar maken tegen een nieuwe of gewijzigde subverwerker kunnen de betreffende diensten zonder boete beëindigen, mits het bezwaar binnen de kennisgevingsperiode van 14 dagen wordt ingediend. Neem hiervoor contact op via privacy@vocito.ai.
Om e-mailmeldingen te ontvangen wanneer wij een subverwerker toevoegen of wijzigen, stuur een e-mail naar privacy@vocito.ai met als onderwerp "Abonneren op subverwerker-updates".
| Datum | Wijziging |
|---|---|
| 9 april 2026 | Eerste subverwerkerlijst gepubliceerd |
Gemäß Art. 28 DSGVO führt Vocito AI eine Liste der Unterauftragsverarbeiter, die personenbezogene Daten im Auftrag unserer Kunden verarbeiten. Mit jedem Unterauftragsverarbeiter bestehen Auftragsverarbeitungsverträge und geeignete Schutzmaßnahmen für internationale Datentransfers.
Twilio (Telefonie-Infrastruktur, VS/EU), OpenAI (KI-Sprachmodell, VS), ElevenLabs (Sprachsynthese, VS/EU), Google Cloud (KI-Audiomodelle, EU), Supabase (Datenbank & Authentifizierung, EU Frankfurt), Stripe (Zahlungsabwicklung, VS/EU, PCI-DSS), Netlify (Webhosting, VS/EU). Alle durch DPA und SCCs abgesichert.
Kunden werden mindestens 14 Tage vor dem Hinzufügen oder Ändern eines Unterauftragsverarbeiters informiert. Bei Einwänden können die betroffenen Dienste ohne Vertragsstrafe gekündigt werden.
| Datum | Änderung |
|---|---|
| 9. April 2026 | Erstveröffentlichung der Unterauftragsverarbeiterliste |
Conformément à l'article 28 du RGPD, Vocito AI tient à jour une liste des sous-traitants qui traitent des données personnelles pour le compte de nos clients. Des accords de traitement des données et des garanties appropriées sont en place pour tous les transferts internationaux.
Twilio (infrastructure téléphonique, US/UE), OpenAI (modèle linguistique IA, US), ElevenLabs (synthèse vocale, US/UE), Google Cloud (modèles audio IA, UE), Supabase (base de données & authentification, UE Francfort), Stripe (traitement des paiements, US/UE, PCI-DSS), Netlify (hébergement web, US/UE). Tous liés par des DPA et des CCT.
Les clients sont informés au moins 14 jours avant l'ajout ou la modification d'un sous-traitant. En cas d'objection, les services concernés peuvent être résiliés sans pénalité.
| Date | Modification |
|---|---|
| 9 avril 2026 | Publication initiale de la liste des sous-traitants |